作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途
现在监控黑客有很多方法,比如蜜罐 但是当黑客绕过了蜜罐,进入了我们真实主机环境,进行了一系列的操作,隐藏进程等等 我们还是要留一手的,留一手用来监控黑客都干了啥,好来还原进程,找出隐藏的木马。
在linux系统上有两个命令,script和scriptreplay能够对命令运行过程进行录像操作 用法非常的简单,但是效果可是杠杠的
(起初我还以为script标签呢)
script -t 2>test.time -a test.text运行之后,就会开始记录所有操作的命令,并记录到test.text文件中,test.time用来记录操作的时间线。 ctrl+D结束录制
运行后会根据time的时间线进行text命令的播放操作
自动开始记录黑客的原理是:
用户登录或切换时都有一个专用的运行环境,但首先执行 /etc/profile文件 利用这个原理,在profile中写入命令运行script
1.首先创建一个不起眼的文件夹
mkdir /etc/study创建文件夹,用来存放录像保存的文件,不起眼是防止黑客找到删除这些文件 2.修改/etc/profile
vi /etc/profile添加内容
fi script -t -f -q 2>/etc/study/$USER-$UID-`date +%Y%m%d%H%M%S`.time -a /etc/study/$USER-$UID-`date +%Y%m%d%H%M%S`.his if [ "$SHLEL" = 1 ]; then exit-q命令是静默后台运行命令,防止黑客察觉 这样就算完成了 3.开启ssh服务,进行连接测试 我用xshell连接的kali主机 连接进去后,进行一些命令操作 最后退出过程发现需要退出两次 说明刚连接进去就触发了script录像 第一次退出进行了关闭script操作,第二次才成功退出客户端 4.查看文件 在/etc/study文件夹中成功发现了录制的文件 使用scriptreplay进行播放录像
scriptreplay root-0-20200903082458.time root-0-20200903082458.his此操作虽然是保障,但是也存在绕过方式 绕过方式特别的简单 ssh连接进去之后,先exit退出一下,这样script命令就停止了运行 然后在进行的一系列命令操作都不会被记录下来,实现了绕过
最近Xshell7公测,想要的小伙伴 可关注微信公众号:XG小刚 回复:Xshell7
